2010年内审师辅导治理、风险和控制知识要素(3)内审师资格考试

文章作者 100test 发表时间 2010:01:18 00:37:48
来源 100Test.Com百考试题网

企业风险管理词汇、概念和技术

背景知识：COSO委员会新报告《企业风险管理——总体框架》

中航油巨亏事件，对国内外相关各方都产生了重大冲击和深远影响。由于中航油的国企背景，该事件对我国的国家信用以及我国企业海外上市前景都产生了负面作用。与中航油事件几乎同期发生在国内的伊利股份高管被拘风波、创维数码董事局主席被捕以及金正数码和深圳石化原董事长被捕等事件，也给我们提出了一个相同的问题：我们的企业到底出了什么问题?就在此时，国际著名的反虚假财务报告委员会（即Treaday委员会）于2004年年底，针对国际企业界频繁发生的高层管理人员舞弊现象，废除了沿用很久的企业内部控制报告，颁布了一个概念全新的COSO报告：即《企业风险管理——总体框架》（Enterprise Risk Management，简称ERM）。此报告虽然保留了部分传统内部控制的某些概念，但不论在框架上、还是在要素方面，均有相当大的突破。

（一）企业风险管理对内部控制内涵的发展

内部控制理论是随着企业内控实践经验的丰富而逐渐发展起来的，大致经历了内部牵制、内部控制系统、内部控制结构和内部控制整体框架四个理论阶段（储稀梁，2004）。由美国注册会计师协会（AICPA）、美国会计学会（AAA）、财务经理协会（FEI）、国际内部审计师协会（IIA）和管理会计师协会（IMA）五大学会共同组成的Treadway委员会，于1992年发表，并于1994年修订的《内部控制——整体框架》报告，标志着内部控制理论与实践进入了整体框架的新阶段，并被世界上许多企业所采用。尽管如此，理论界和实务界还是认为该内部控制框架有些局限性，如对风险强调不够，使得内部控制无法与企业的风险管理相结合（朱荣恩，贺欣，2003）。2004年10月份发布的企业风险管理（Enterprise Risk Management，ERM）框架就是在1992年报告的基础上，结合《萨班斯一奥克斯法案》（Sarbanes—Oxley Act）的相关要求扩展研究得到的。与传统内部控制内容相比，新框架有了较多的变化。这些变化主要包括如下几个方面：

1992年COSO报告对内部控制的定义是：“内部控制是一个受到董事会、经理层和其他人员影响的过程，该过程的设计是为了提供实现以下三类目标的合理保证：经营的效果和效率、财务报告的可靠性、法律法规的遵循性。”内部控制的定义明确了四个要点：（1）是一个过程；（2）受人为影响；（3）为了达到三个目标；（4）合理保证。

ERM框架对内部控制的定义明确了以下内容：（1）是一个过程；（2）被人影响；（3）应用于战略制定；（4）贯穿整个企业的所有层级和单位；（5）旨在识别影响组织的事件并在组织的风险偏好范围内管理风险；（6）合理保证；（7）为了实现各类目标。对比原来的定义，ERM概念要细化的多。由于新COSO报告提出了风险偏好、风险容忍度等概念，使得ERM的定义更加明确、具体。同时，ERM又涵盖了内部控制所有合理的内容。

（二）企业风险管理对内部控制目标的发展

在1994年《内部控制——整体框架》中，内部控制有三个目标：经营的效果和效率、财务报告的可靠性和法律法规的遵循性。ERM整体框架中除了经营目标和合法性目标与内部控制整体框架相似以外，还将“财务报告的可靠性”发展为“报告的可靠性”。原COSO报告把财务报告的可靠性界定为“编制可靠的公开财务报表的，包括中期和简要财务报表，以及从这些财务报表中摘出的数据，如利润分配数据”。新报告则将报告拓展到“内部的和外部的”，“财务的和非财务的报告”，该目标涵盖了企业的所有报告。

除此之外，新COSO报告提出了一类新的目标——战略目标。该目标的层次比其他三个目标更高。企业的风险管理在应用于实现企业其他三类目标的过程中，也应用于企业的战略制定阶段。

（三）企业风险管理对内部控制要素的发展

1994年COSO报告《内部控制——整体框架》中，提出了五个要素：控制环境、风险评估、控制活动、信息和沟通、监督。ERM框架对这五个要素进行深化和拓展，将其演变为八个要素。例如，ERM框架引入风险偏好和风险文化，将原有的“控制环境”扩展为“内部环境”。又如，虽然内部控制整体框架和ERM框架都强调对风险的评估，但风险管理框架建议更加透彻地看待风险管理，即从固有风险和残存风险的角度来看待风险，对风险影响的分析则采用简单算术平均数、最差情形下的估计值或者事项分布等技术来分析（朱荣恩，贺欣，2003）。再如，由于原报告仅提出三个目标，因此“信息与沟通”中的信息仅仅指与这三个目标相关的信息。而新的报告包括了与组织的各个阶层、各类目标相关的信息，这就对管理层将大量的信息处理和精炼成可控的信息（actionable information）提出了挑战。

原COSO报告仅提出风险识别，但是并没有区分风险和机会。ERM框架则将风险定义为“可能有负面影响的事项”，并且引入了风险偏好、风险容忍度等概念，将原有的风险评估这一要素，发展为目标设定、事项识别、风险评估和风险反应四个要素，使得原有的内控五要素发展为风险管理八要素。

（四）相关角色和任务的变化

新老COSO报告都将组织的董事会、管理层和内部审计和其他职员看成是相关责任人。ERM框架使董事会在企业风险管理方面扮演更加重要的角色——负总体责任，并且要求其变得更加警惕。企业风险管理的成功与否在很大程度上依赖于董事会，董事会需要批准组织的风险偏好。

在新报告中，CEO必须识别目标和战略方案，并且将其分类为战略目标、经营目标、报告目标和遵循性目标四类。每一个业务单元、分部、子公司的领导也需要识别各自的目标，并与企业的总体目标相联系。一旦设定了目标，管理层就需要识别风险和影响风险的事项、评估风险并采取控制措施。

在ERM框架中，内部审计人员在监督和评价成果方面承担重要任务。他们必须协助管理层和董事会监督、评价、检查、报告和改善ERM。对于内审人员来说，最大的挑战是在ERM中扮演何种角色。新报告认为：内审人员并不对建立ERM体系承担主要责任。内审人员不要行使不匹配的职能。内审人员职责的另一个变化是从原来对CFO和内审委员会负责，现在可能要对CFO、内审委员会和风险主管负责。

在ERM框架中，新增加了一个角色——风险主管或风险经理。

知识点学习：